Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Betroffenenrechte · DSGVO Art. 15, 12

Auskunftsersuchen nach Art. 15 DSGVO

Jede natürliche Person hat das Recht zu erfahren, ob Sie ihre Daten verarbeiten — und wenn ja, welche. Das Auskunftsersuchen ist das am häufigsten genutzte Betroffenenrecht und gleichzeitig das, bei dem die meisten Stellen unnötig in Verzug geraten.

Frist und Verlängerung

  • Regelfrist: 1 Monat ab Eingang (Art. 12 Abs. 3 Satz 1).
  • Verlängerung um 2 Monate möglich, wenn die Anfrage komplex ist oder mehrere Anfragen vorliegen. Voraussetzung: Sie informieren die Person innerhalb des ersten Monats unter Angabe der Gründe.
  • Versäumte Frist = potenzielles Bußgeld + Aufsichtsbeschwerde.

Pflicht-Inhalt der Auskunft

Nach Art. 15 Abs. 1:

  • Verarbeitungszwecke
  • Kategorien der verarbeiteten Daten
  • Empfänger oder Empfängerkategorien (insbesondere in Drittländern)
  • Geplante Speicherdauer oder Kriterien für deren Festlegung
  • Bestehen von Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrecht
  • Beschwerderecht bei der Aufsichtsbehörde
  • Herkunft der Daten, wenn nicht bei der Person erhoben
  • Bestehen automatisierter Entscheidungsfindung incl. Profiling
  • Bei Drittlandsübermittlung: geeignete Garantien (Art. 46)

Plus nach Art. 15 Abs. 3: eine Kopie der konkret verarbeiteten Daten.

Was die Kopie konkret umfasst

Der EuGH hat 2023 (C-487/21) klargestellt: „Kopie” heißt buchstäbliche Reproduktion der Daten, nicht nur eine Aufzählung. Bei E-Mails also typischerweise Auszüge mit Inhalt, nicht nur „wir haben 17 E-Mails”.

Bearbeitungsschritte

  1. Eingang dokumentieren (Tag, Kanal, Identität soweit erkennbar).
  2. Identität prüfen — siehe Identitätsprüfung bei Betroffenenanträgen. Nur bei begründeten Zweifeln nachfordern.
  3. Datenbestand sichten — alle Systeme (CRM, ERP, Mail-Archiv, Personal, Backups soweit zugriffsfähig).
  4. Bereinigen: Daten Dritter schwärzen, soweit Rechte Dritter überwiegen.
  5. Auskunft erstellen — strukturiert nach Art. 15 Abs. 1, mit Datenkopie.
  6. Versand verschlüsselt (PGP, S/MIME oder mindestens passwortgeschütztes PDF mit getrennt übermitteltem Passwort).
  7. Versand dokumentieren mit Datum.

Häufige Fehler

  • Pauschale „wir haben nichts” ohne nachweisbare Recherche.
  • Versand per unverschlüsselter E-Mail mit kompletter Datenkopie — ist selbst eine Datenpanne nach Art. 33.
  • Ablauf der Monatsfrist ohne Verlängerungsmitteilung.
  • Forderung einer Ausweiskopie ohne konkreten Anlass — siehe Praxistext zu Identitätsprüfung.

Wenn wir DSB sind

Wir nehmen Anfragen über /anfrage/ entgegen, prüfen Plausibilität und leiten an den Verantwortlichen weiter. Der Verantwortliche erfüllt den Anspruch — wir begleiten, prüfen den Entwurf und dokumentieren den Vorgang.

Quelle: FS/CS GmbH